Ciberseguridad
Apps
App Store

APPlicando la protección de datos: no hay excusa para no cumplir

Las aplicaciones (´apps´) preocupan a las autoridades de protección de datos por el alto nivel de incumplimiento sobre protección de datos personales.

google_play_store

En 2014 un total de 26 autoridades de protección de datos, alrededor del mundo, participaron en una acción coordinada que tuvo por objeto analizar más de 1.200 apps, resultando que más de la mitad suscitaron preocupaciones en materia de protección de datos personales y privacidad. Y en 2015, un total de 29 autoridades de protección de datos, también alrededor del mundo, analizaron casi 1.500 sitios web y apps dirigidas a menores, siendo el resultado que un alto porcentaje de las que tratan datos personales no cumplen con medidas en la materia.

Las apps siguen siendo una preocupación ya que la falta de cumplimiento sobre protección de datos personales impacta negativamente en la confianza de los usuarios y además da lugar a una situación que podría incluso terminar con importantes sanciones económicas. Por ejemplo, en España, tratar más datos personales de los que son necesarios para la finalidad con la que se recogen, lo que supone incumplir con el principio de calidad de los datos, podría conllevar una sanción de hasta 300.000 euros conforme a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). E incluso la sanción podría ser de hasta 600.000 euros en caso de que se cometa una infracción muy grave, como por ejemplo si los datos personales se recaban de forma engañosa o fraudulenta.

Esta preocupación de las autoridades de protección de datos no es nueva, sino que vienen alertando de ello desde hace ya varios años. Buena muestra del tema, es que el Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE, conformado por representantes de las autoridades nacionales de protección de datos de la Unión Europea, dedicase en 2013 su Dictamen 2/2013 a las aplicaciones (`apps´) de los dispositivos inteligentes, en el que se incide en el hecho de que “los desarrolladores de aplicaciones que desconozcan las normas de protección de datos pueden crear riesgos significativos para la vida privada y la reputación de los usuarios de dispositivos inteligentes.”

También, en 2013, durante la 35ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, que tuvo lugar en Varsovia, las autoridades de protección de datos dedicaron a esta cuestión una de sus resoluciones. En particular, en su resolución, titulada “appificación” (en inglés, “appification”) de la sociedad, dichas autoridades señalan que los desarrolladores de apps tienen que asegurar el cumplimiento de las normas sobre protección de datos y privacidad.

La protección de datos personales o la privacidad, más que una cuestión de “experiencia del usuario”, es una obligación relativa a garantizar los derechos de los usuarios, ya sea según una aproximación basada en considerar la privacidad como un derecho del consumidor o una que presta más atención a la protección de datos personales como un derecho fundamental. Las apps son clave para el desarrollo de la economía digital y, ya sólo por eso, es necesario que las mismas cumplan con altos estándares tanto normativos o regulatorios como auto-regulatorios, en su caso.

Al adoptar medidas adecuadas por quien desarrolla una app se evitan riesgos, como por ejemplo la falta de transparencia respecto al tratamiento de datos personales, medidas de seguridad insuficientes o no adecuadas, posibles infracciones del principio de finalidad o incluso del consentimiento necesario y una mala gestión del mismo a lo largo del tratamiento de los datos personales. Se trata, por tanto, de un ejercicio de responsabilidad (“accountability”).

Además, es necesario adoptar medidas adicionales en el caso de que se traten datos relativos a la salud y/o a la geolocalización de las personas, debiendo considerar también aspectos como el relativo al almacenamiento de los datos personales y, en su caso, posteriores tratamientos de dichos datos personales. Asegurar un derecho fundamental, como el de la protección de datos personales, pasa necesariamente por considerar la ciberseguridad. Y también es necesario atender, de manera específica, al tratamiento de datos personales de los menores. Unos y otros casos son claros ejemplos de tratamientos de datos personales que presentan un claro riesgo, en el sentido de que su mal uso tiene consecuencias especialmente adversas para la persona a la que se refieren los mismos.

 

Cumplir con la normativa sobre protección de datos y privacidad es también una ventaja y una garantía. Cabría pensar que, en algún momento, el desarrollador de una app buscará captar inversión de socios u ofrecer la app a través de una tienda. Y cabría pensar también en la posibilidad de que los socios no invirtiesen o el propietario de una tienda de apps la rechazase por no cumplir en materia de protección de datos y privacidad.

Hasta ahora han sido avisos, incluso en forma de carta abierta enviada a finales de 2014 de manera conjunta por varias autoridades de protección de datos personales, entre las que se encuentran las de Canadá, Colombia, Francia e Italia, y dirigida a las compañías que gestionan tiendas de apps (“app marketplaces”) y en la que, como resultado de las acciones conjuntas llevadas a cabo, ya mencionadas, pedían la colaboración de estas últimas para asegurar el cumplimiento de la normativa sobre protección de datos personales y privacidad.

Por cierto, podríamos decir también que la lectura de este artículo impide alegar ya la excusa de desconocer que hay una normativa sobre protección de datos personales que aplica cuando se tratan datos personales. O, dicho de otra manera, “el desconocimiento de la ley no exime de su cumplimiento” y es hora de APPlicar la protección de datos personales en la práctica.

En cualquier caso, que una app o cualquier app que trate más o menos datos personales, cumpla con la normativa sobre protección de datos personales, es mucho más que una mera cuestión de cumplimiento. Considerar la protección de datos desde el principio, ya sea desde el diseño (“privacidad desde el diseño” o “privacy by design”) o por defecto (“privacy by default”) es también una medida que, a corto, medio o largo plazo, puede evitar muchos problemas ya que significa que se ha identificado y considerado cualquier riesgo que pueda implicar el tratamiento de datos personales que se vaya a hacer. Esto permitirá, por una parte, gestionar el riesgo y, por otra parte, generar confianza de los usuarios, accionistas o socios en su caso, autoridades competentes u otras partes interesadas y ser competitivo frente a otros.

 

Miguel Recio Gayo

Abogado del Ilustre Colegio de Abogados de Madrid; Licenciado en Derecho por la Universidad Carlos III; Máster en Protección de Datos, Transparencia y Acceso a la Información por la Universidad CEU San Pablo y Máster en Derecho de la Propiedad Intelectual por The George Washington University Law School. Es socio fundador de Global Data Protection Consulting, una firma de servicios jurídicos y consultoría en Derecho de las TIC. Es autor de diversas publicaciones sobre protección de datos y otras áreas del Derecho de las TIC. Madrid, España.



Revistas Digitales

DealerWorld Digital

 

También es noticia...

Documentos Computerworld

Registro:

Eventos: